Hallo zusammen,
wir haben aktuell das folgende Problem mit dem LargeFiles Modul:
Anwendungsfall: (Erstkontakt mit einem neuen Empfänger, Upload von Dateien auf LF und "Schütze alle Dateien")
1. Der Kunde bekommt die E-Mail mit dem Anhang als Downloadlink in einer E-Mail.
2. Mit dem Klick auf den Link landet er bei der Registrierungsseite und setzt erstmalig sein Passwort
3. Nach erfolgreichem initialem Wechsel erhält er eine E-Mail mit dem Hinweis das sein Passwort geändert wurde und das er es über das "Passwort-Portal" jederzeit ändern kann.
4. Final lädt er die Dateien herunter.
Inzwischen liegen einige Dateien (kritische gemäß DSGVO) im "NSP-Share" (Ablage auf den Gateways, 30 Tage Vorhaltezeitraum bis zur Löschung)
Nun wird sein Postfach kompromittiert und der Hacker findet die Mail zum Passwortreset, setzt sich ein neues Passwort (löscht vielleicht die eingehende E-Mail dass das Passwort geändert wurde) und lädt sämtliche Dateien herunter (durchsucht die E-Mails, findet dort Links zu den Freigaben) welche im NSP-Share noch liegen.
Ist dies noch zeitgemäß oder sollte hier nicht ein weiterer Faktor zum Passwort nötig sein um das Passwort (initial) zu wechseln?
Wie macht ihr das in eurer Organisation, wie nutzt ihr LF in diesem Anwendungsfall?
Gibt es ggf. die Möglichkeit den NSP so zu konfigurieren, dass nur der Server das Passwort jedes Mal vergibt und dem Kunden dies per SMS schickt?
Wie harmoniert dies dann mit dem Outlook-Add-In?
Weiterhin ist die SMS eher ein schwacher weiterer Faktor ... Nicht wie eine Auth. App von MS oder Google ... aber besser als beides (Link + Passwortmail) auf demselben Transportweg!
LG
Fabian
wir haben aktuell das folgende Problem mit dem LargeFiles Modul:
Anwendungsfall: (Erstkontakt mit einem neuen Empfänger, Upload von Dateien auf LF und "Schütze alle Dateien")
1. Der Kunde bekommt die E-Mail mit dem Anhang als Downloadlink in einer E-Mail.
2. Mit dem Klick auf den Link landet er bei der Registrierungsseite und setzt erstmalig sein Passwort
3. Nach erfolgreichem initialem Wechsel erhält er eine E-Mail mit dem Hinweis das sein Passwort geändert wurde und das er es über das "Passwort-Portal" jederzeit ändern kann.
4. Final lädt er die Dateien herunter.
Inzwischen liegen einige Dateien (kritische gemäß DSGVO) im "NSP-Share" (Ablage auf den Gateways, 30 Tage Vorhaltezeitraum bis zur Löschung)
Nun wird sein Postfach kompromittiert und der Hacker findet die Mail zum Passwortreset, setzt sich ein neues Passwort (löscht vielleicht die eingehende E-Mail dass das Passwort geändert wurde) und lädt sämtliche Dateien herunter (durchsucht die E-Mails, findet dort Links zu den Freigaben) welche im NSP-Share noch liegen.
Ist dies noch zeitgemäß oder sollte hier nicht ein weiterer Faktor zum Passwort nötig sein um das Passwort (initial) zu wechseln?
Wie macht ihr das in eurer Organisation, wie nutzt ihr LF in diesem Anwendungsfall?
Gibt es ggf. die Möglichkeit den NSP so zu konfigurieren, dass nur der Server das Passwort jedes Mal vergibt und dem Kunden dies per SMS schickt?
Wie harmoniert dies dann mit dem Outlook-Add-In?
Weiterhin ist die SMS eher ein schwacher weiterer Faktor ... Nicht wie eine Auth. App von MS oder Google ... aber besser als beides (Link + Passwortmail) auf demselben Transportweg!
LG
Fabian
